V poledne 13. května byly v mých kryptopeněženkách MetaMask tokeny v hodnotě 45 000 $.
O hodinu později bylo všechno pryč.
Seděl jsem u svého stolu v mém domě v Lagosu v Nigérii a tupě jsem zíral na obrazovku svého počítače a snažil se zachytit dopad toho, co se stalo.
Na několika otevřených kartách prohlížeče v mém počítači jsem viděl několik odchozích krypto transakcí z mé peněženky na neznámé adresy.
Byl jsem zmatený.
Podíval jsem se na časová razítka zobrazená u několika transakcí a věděl jsem, že jsem je nemohl zahájit.
To proto, že jsem byl tři hodiny zaneprázdněn prací na jiném počítači.
Můj šok brzy vystřídalo zděšení, když jsem si uvědomil, že jsem byl nějak hacknut. Ale jak?
Bolest a vina
Sedm let jsem byl kryptoreportérem a za tu dobu jsem pokryl mnoho případů, kdy majitelé tokenů přišli o své finanční prostředky ve prospěch hackerů.
Teď se mi právě stalo to samé.
Cítil jsem bolest a vinu, když jsem si vzpomněl, že většina finančních prostředků nepatří mně, ale mé rodině.
Tyto kryptotokeny – Ether, Tether’s USDT stablecoin a Jasmy, altcoin – začali shromažďovat v roce 2020 poté, co uzamčení Covid-19 vyvolalo ekonomickou volatilitu.
Jako místní expert v rodině na mě bylo, abych se staral o jejich majetek, aby byl v bezpečí. Byl jsem jejich správcem kryptoměn a můj záznam byl bezchybný.
Do teď.
Jakkoli byla krádež bolestivá, nebylo to nic ve srovnání s úzkostí, kterou jsem cítil, když jsem informoval svou rodinu o tom, co se stalo.
Smutek, který jsem viděl vyrytý na jejich tvářích, mi připomněl smrt mého zesnulého otce v roce 2017. Moje utrpení vrhá průhlednost veřejných blockchainů do jiného světla.
Během několika tahů počítače vidím své ukradené krypto v peněžence někoho jiného, a přesto nemohu získat zpět svá aktiva. Je to děsivá připomínka mého utrpení.
Realita je taková, že podobný osud potkal mnoho uživatelů kryptoměn, od profesionálů po nováčky.
„Pokud uděláte chybu, je snadné přijít o kryptoměnu. V mém případě to všechno začalo hrou.“
Miliardář Mark Cuban prohrál loni hackerovi 870 000 dolarů poté, co řekl, že si stáhl peněženku MetaMask „s nějakými hovnami“.
V roce 2023 ztratili investoři do kryptoměn ve prospěch zlodějů 1,7 miliardy dolarů, uvádí Chainalysis, blockchain forenzní společnost.
Je snadné ztratit kryptoměnu, pokud uděláte chybu, jako je stažení poškozeného softwaru, který odhalí podrobnosti o vaší peněžence.
Někdy můžete o své prostředky přijít, pokud ostražitý hacker otráví adresu vaší peněženky vytvořením falešné peněženky, která se co nejvíce shoduje s peněženkou oběti.
V mém případě to všechno začalo hrou.
Keylogger
Slíbil jsem, že pomůžu svému mladšímu příbuznému stáhnout hru s názvem „Dave The Driver“.
Byl netrpělivý a snažil se to udělat sám. Problém byl v tom, že používal počítač s peněženkou prohlížeče, která obsahovala kryptoaktiva mé rodiny.
Stáhl si verzi hry s malwarem a ta okamžitě infikovala můj notebook.
Malware pravděpodobně nainstaloval keylogger – program, který zaznamenává stisknuté klávesy – a odhalil podrobnosti mé peněženky MetaMask, což umožnilo hackerovi vysát krypto.
Mnoho online peněženek, včetně MetaMask, nepoužívá osvědčená ochranná opatření k zabránění krádeži, jako jsou upozornění na podvody a dvoufaktorové ověřování.
Pokud by se jednalo o účet v mé bance, obdržel bych upozornění na podvod, jakmile byla zahájena první transakce.
Banka by transakci pozastavila a poskytla by mi dostatek času na potvrzení, zda jsem převod prostředků skutečně zahájil.
U kryptopeněženek prakticky žádné takové preventivní funkce neexistují.
Vložené prostředky v bezpečí
Vlastně jediné varování, které jsem obdržel z centralizované burzy, kde jsem držel nějaké tokeny. Hacker se zjevně pokoušel získat přístup k mým aktivům a burza je požádala o dvoufaktorový ověřovací kód.
Ten pokus byl neúspěšný a podařilo se mi držet si majetek, ale byla to malá částka. Přesto zde byla situace, kdy dvoufaktorová autentizace nebo 2FA fungovala dobře.
Hacker se také pokusil ukrást prostředky z jiných peněženek, které jsem použil a které vsadily kryptoměny, ale neúspěšně.
"Pokud hacker nezapomene, závodil bych se zlodějem, kdo zajistí vsazený majetek v nové peněžence."
Je to proto, že blockchainy, jako je Cosmos, obvykle vyžadují, aby uživatelé čekali 14 až 21 dní na stažení vložených aktiv po jejich zrušení.
Hacker zahájil proces zrušení sázky, ale nebyl schopen převést tokeny do jejich peněženky. Od té doby jsem tyto kryptotokeny znovu sázil, ale to problém jen stěží vyřeší.
(Staking je proces, který umožňuje použití vašich tokenů při ověřování transakcí v blockchainové síti.)
Pokud hacker na můj majetek nezapomene, budu se zlodějem závodit o zajištění těchto vložených aktiv v nové peněžence, až budou k dispozici pro výběr, ale to je problém na jiný den.
Co se týče bezprostředního dopadu, jsem vděčný, že moje rodina neobvinila mě ani mého mladého příbuzného z odhalení jejich majetku.
Když jsem se zamyslel nad příběhy, které jsem napsal o podobných případech, uvědomil jsem si, že jsem moc nepřemýšlel o rodinách lidí, kteří kvůli hackerům přišli o kryptofondy.
Soustředil jsem se na vysvětlení toho, jak k hackům došlo, kam šly finanční prostředky a možné snahy o obnovu.
Vidím aktiva
Obzvláště frustrující byla skutečnost, že tři týdny po zločinu stále vidím svůj ukradený majetek.
Většina ukradených kryptoměn leží na dvou adresách, které patří hackerovi. Jsou k vidění zde a zde.
V každém případě jsem kontaktoval blockchainovou bezpečnostní firmu, abych se pokusil zablokovat hackerovi, aby nemohl obchodovat s ukradeným kryptem za hotovost prostřednictvím centralizované burzy.
Řekli mi, že pokusit se zablokovat adresy peněženky hackera by je stálo 2 000 dolarů.
Obnovení odcizených kryptoměn je obvykle dlouhý proces, který zahrnuje opatření pro vymáhání práva a spolupráci kryptoburz.
Členové mé rodiny se rozhodli, že bude lepší vstřebat ztrátu.
Nebyli nadšeni vyhlídkou na utrácení dalších peněz při pronásledování hackera, když šance na uzdravení byly mizivé.
Potřebujeme lepší zabezpečení
Měl jsem čas přemýšlet o tom, co se stalo, a z mé zkušenosti se lze poučit.
Za prvé, držte své počítače, které obsahují cenné kryptopeněženky, daleko od malých dětí!
Ještě vážnější je, že kryptopeněženky potřebují lepší ochranu.
Pokud je cílem široké přijetí kryptoměn, pak bezpečné ukládání těchto digitálních aktiv musí být jednodušší, zejména pro ty, kteří preferují vlastní správu.
Vlastní úschova přichází s očekáváním, že uživatel je odpovědný za bezpečnost svého majetku.
Uživatelé však potřebují další pomoc – možná ve formě výstrah v reálném čase a dvoufaktorové autentizace.
Existují řešení chytrých smluv, jako je peněženka s více podpisy Safe, kde je k dokončení transakce zapotřebí více než jeden podepisující.
Zatímco peněženky s více značkami pomáhají zlepšit zabezpečení, jednotliví podepisující musí chránit své klíče – opět platí, že s vlastní úschovou je břemeno zajištění bezpečnosti peněženky na uživateli.
Multi-Sig na záchranu?
Za předpokladu, že bych s kompromitovanými peněženkami vytvořil multi-sig dohodu, hacker by stále mohl peníze ukrást. Použili by každou kompromitovanou adresu k podpisu transakcí potřebných k přesunu finančních prostředků.
Tento proces by byl pomalejší, ale ušlo by jim moje rodinné peníze.
Je však špatnou praxí zakládat multi-sig ovládaný jedním subjektem.
V ideálním případě by každý signatář byl jiný člen rodiny, jehož peněženky byly na samostatných zařízeních.
A to jsme udělali.
Někteří mohou poukazovat na chybu držení finančních prostředků v online peněžence, která je náchylná k hackerům. Nebo řekněme, že tokeny měly být bezpečně uloženy v offline peněžence, jako je typ nabízený výrobci hardwarových peněženek.
Takový byl plán, i když jsem se s tím pohnul pomalu.
A teď jsem dostal lekci za 45 000 dolarů za mou letargii.
Osato Avan-Nomayo je náš korespondent DeFi z Nigérie. Zabývá se DeFi a tech. Chcete-li sdílet tipy nebo informace o příbězích, kontaktujte ho na osato@dlnews.com.